最近の記事


2017年05月16日

(OS関連)ランサムウェアとは?感染経路は?


ランサムウェア(Ransomware)の定義
 身代金(Ransom)とソフトウェア(Software)の合成語で、
システムをロックしたり、データを暗号化して使用することができないようにして、
これを人質みたいに使い金銭を要求するのをマルウェアとを言います。
主にセキュリティ管理ができてないサイト、スパムメール、ファイル共有サイトを通して感染される場合が多いです。
 
ランサムウェア感染経路
  
 スパムとフィッシング
 メール受信時に添付ファイルやメールにURLリンクを付けそれをクリックさせ、マルウェアを感染させるケースです。添付ファイルを実行またはURLリンクをクリックには注意が必要です。
最近ではメールを開くよう誘導するために「年末調整案内」、「忘年会のご案内」「領収書添付」などの日常生活と密接な内容に偽装しており、知らない人からのメールは開かないようにしましょう。どうしてもと言うのであれば添付されたリングやファイルを一度PCに保存してからワクチンで検査して開いて見ることをお勧めします。
 セキュリティ管理ができてないサイト
 セキュリティ管理ができてないサイトは、ウェーブサイトを見るだけで感染されることもあります。ドライブ・バイ・ダウンロード(Drive-by-Download)という 手法で感染を拡大させているので、パソコンのOSと各種ソフトウェアのセキュリティパッチを常に最新の状態に更新することが重要です。 またポルノ、違法ダウンロードサイトなどは、セキュリティ管理が不十分である可能性が高く、利用しない方がいいです。 
 ソーシャルネットワークサービス(SNS)
 最近フェイスブック、ツイタのなどのSNSにアップされたURLや写真を利用して、ランサムウェアに感染させる手法もあります。 特にSNSアカウントがハッキングされ信頼できるユーザーになりすましてランサムウェアに感染させたりもしますので要注意です。
 ファイル共有サイト
 トレント(Torrent)などのP2Pサイトを利用して動画などのファイルをダウンロードし、これを実行して感染されるケースもあるみたいですね。
 
主なランサムウェア
  
 ケルベル(CERBER)
 ●ランサムウェアとして有名です
 ●感染時に Attention! Attention! Attention!
 Your documents、photos、databases
and other important files have been encrypted
と音声メッセージ出力します。
 ●ウェブサイト訪問した時に
OSのセキュリティの甘いと感染される可能性が高いです。最近では電子メールを通じて感染される場合もあるようです。
 ●感染されるとファイルを暗号化し、拡張子が
.cerberに変更されます。
 ●マルウェア自体に特定のIPアドレスとサブネットマスクの値記録されており、
それを利用してUDPパケットを送信します。
 ●感染られてしまえばネットワークが接続されてなくても
ファイルは暗号化されてしまいます。
 ●ウィンドウズの復元ポイントを削除されてしまうので
システムの修復すら不可能です。
  
 ロッキー(Locky)
 ●2016年3月以降、電子メール経由の拡散。
●受信者を欺くためにInvoice(請求書)、Refund(払い戻し)などのタイトルを使用しています。
 ●JavaScriptの(java script)ファイルが含まれている圧縮ファイルを添付して、これを実行するとランサムウェアをダウンロードして、感染させます。
 ●ロッキーランサムウェアに感染すると、ファイルが暗号化され、拡張子が.lockyに変わり、デスクトップやテキストファイルに復元関連メッセージ出力されます。
 クリプトロッカー(CryptoLocker)
 ●ウェブサイト訪問時のOSのセキュリティが甘いと感染される可能背が高いです。
メール内の添付ファイルを介して感染されたりもします。
 ●拡張子をencrypted、cccに変更、暗号化されたすべてのフォルダ内に暗号化されたファイルを複号化する案内文を2種類を作成します(DECRYPT_INSTRUCTIONS * / HOW_TO_RESTORE_FILES *)。
 ●ウィンドウズの復元ポイントも削除されてしまうためWindowsシステムの修復が不可能です。
  
 クリプトXXX(CryptXXX)
 ●2016年5月に海外のワクチン会社が暗号化されたファイルを復号化するツール公開しました。それに対抗し、暗号化方式を補完したスクリプトXXXバージョン3.0が出まわています。
 ●初期には、アングラー・エクスプロイトキット(Angler Exploit Kit)を使っていましたが、最近では、ニュートリノ・エクスプロイトキット(NeutrinExploit Kit)を使用しているようです。
 ●クリプトXXXに感染すると、ファイルの拡張子が.cryptなどに変わり、デスクトップ画面が暗号化されたファイルを複号化させるガイドメッセージに変更されます。
 ●実行ファイル(EXE)ではないダイナミック・リンク・ライブラリ(DLL)形式でできています。
 ●通常のrundll32.exeをsvchost.exeの名前でコピーして不正なDLLをロードして動作します。
 ●現在のバージョンでは一度感染されると、ネットワーク接続がなくてもファイルが暗号化されます。
 テスラスクリプト(TeslaCrypt)
 ●2016年5月にマスターキーが配布されほぼ感染被害少なくなりつつあります。
 ●Webサイトや電子メール内の添付ファイルを通して感染されます。
 ●拡張子をecc、micr等に変更します。
 ●内臓ハードディスクだけに感染され、外付けやネットワークハードディスクは除外です。
 ●感染されたらHowto_Restore_FILES *のような暗号化を複号化できる案内文見たいなファイルをデスクトップに作成します。 
【パソコン>OS関連の最新記事】
posted by イテゾラ at 14:01 | Comment(0) | TrackBack(0) | パソコン>OS関連 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/449938485

この記事へのトラックバック